Το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) εξέδωσε πρόσφατα μια ιδιαίτερα ενδιαφέρουσα απόφαση, ερμηνεύοντας πληρέστερα αφενός την έννοια των δεδομένων προσωπικού χαρακτήρα και αφετέρου την έννοια της ψευδωνυμοποίησης.

Ειδικότερα, το ΔΕΕ, με αφορμή υπόθεση τραπεζικής εξυγίανσης (C-413/23 P), εξέτασε εάν ένα σύνολο πληροφοριών που ψευδωνυμοποιήθηκε εξακολουθεί να θεωρείται «πληροφορία που αφορά φυσικό πρόσωπο» (δηλαδή προσωπικό δεδομένο) κατά τον GDPR. Στο επίκεντρο βρέθηκε η μη ενημέρωση των ενδιαφερομένων (πιστωτών/μετόχων ισπανικής τράπεζας) ότι οι παρατηρήσεις τους επί της διαδικασίας εξυγίανσης διαβιβάστηκαν, σε ψευδωνυμοποιημένη μορφή, στη συμβουλευτική εταιρεία Deloitte, προκειμένου να αξιολογηθούν.

Το ΔΕΕ επανέλαβε ότι η «πληροφορία που αφορά φυσικό πρόσωπο» περιλαμβάνει κάθε είδος πληροφορίας, τόσο αντικειμενικής όσο και υποκειμενικής φύσης, υπό την προϋπόθεση ότι οι πληροφορίες αυτές σχετίζονται ή μπορούν να συσχετιστούν με συγκεκριμένο άτομο. Ιδίως, η προσωπική γνώμη ή άποψη ενός ατόμου είναι εξ ορισμού προσωπικό δεδομένο, καθώς ως έκφραση της σκέψης του συνδέεται αναγκαστικά στενά με το πρόσωπο αυτό.

Επιπλέον, το ΔΕΕ τόνισε ότι καθοριστικής σημασίας για τον χαρακτηρισμό μιας πληροφορίας ως προσωπικού δεδομένου είναι ο χρόνος συλλογής και η οπτική του Υπευθύνου Επεξεργασίας. Εφόσον, εν προκειμένω, το Ενιαίο Συμβούλιο Εξυγίανσης (Υπεύθυνος Επεξεργασίας) γνώριζε από ποιον προέρχονταν οι παρατηρήσεις και διέθετε συμπληρωματικές πληροφορίες για να τις συνδέσει με συγκεκριμένα πρόσωπα, τα δεδομένα αυτά ήταν εξαρχής προσωπικά για αυτόν, ανεξαρτήτως της μεταγενέστερης διαβίβασής τους. Αντίθετα, ο τρίτος αποδέκτης (εν προκειμένω η Deloitte), χωρίς τα αναγκαία μέσα ταυτοποίησης, δεν μπορεί να συνδέσει τα ψευδωνυμοποιημένα δεδομένα με συγκεκριμένο φυσικό πρόσωπο, με αποτέλεσμα – από τη δική του οπτική – τα δεδομένα αυτά να μην εμπίπτουν πλέον στην έννοια των προσωπικών δεδομένων.

Το γενικό συμπέρασμα του ΔΕΕ είναι ότι η ψευδωνυμοποίηση δεν εξαιρεί αυτόματα τα δεδομένα από το πεδίο εφαρμογής του GDPR. Έτσι, για τον Υπεύθυνο Επεξεργασίας που διαθέτει τις πρόσθετες πληροφορίες ταυτοποίησης, τα δεδομένα παραμένουν προσωπικά, ενώ για τον τρίτο αποδέκτη που δεν έχει πρόσβαση σε αυτές, τα ίδια δεδομένα ενδέχεται να μην θεωρούνται προσωπικά. Για τον λόγο αυτό, οι υποχρεώσεις ενημέρωσης και διαφάνειας εφαρμόζονται πριν από οποιαδήποτε διαβίβαση των δεδομένων και ανεξάρτητα από το αν, από τη σκοπιά του τρίτου, αυτά είναι ή δεν είναι προσωπικού χαρακτήρα, μετά την ψευδωνυμοποίησή τους.

Η απόφαση του ΔΕΕ υπενθυμίζει ότι η ψευδωνυμοποίηση δεν ισοδυναμεί με ανωνυμοποίηση και ότι ο χαρακτηρισμός μιας πληροφορίας ως «προσωπικού δεδομένου» εξαρτάται από το ποιος διαθέτει τα μέσα ταυτοποίησης. Για τους οργανισμούς, αυτό συνεπάγεται αυξημένη ευθύνη ως προς τη διαχείριση, τη διαβίβαση και την ενημέρωση των υποκειμένων σχετικά με κάθε επεξεργασία, ακόμη και όταν τα δεδομένα «φαίνονται ανώνυμα». Πρακτικά, η απόφαση επιβάλλει επανεξέταση των Πολιτικών Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και των Συμβατικών Ρητρών με τρίτους αποδέκτες, ώστε να διασφαλίζεται πλήρης διαφάνεια και συμμόρφωση με τον GDPR.